Удачные стратегии - сетевая и Internet - начинаются с составления корпоративной сметы и жесткой политики безопасности
Джефф Роузер всегда осторожно выбирает слова. И все же, когда он утверждает: “Безопасность сети очень важна”, - это звучит как очень сильное преуменьшение. Подобно тысячам менеджеров сетей, Роузер прекрасно знает, что в век Internet безопасность сети действительно имеет огромное значение.
“Internet заставляет нас сильнее бояться потенциальных опасностей,” - считает Роузер, менеджер отдела информационных систем и технологий фирмы Bechtel Systems and Infrastructure (Сан-Франциско), которая занимается обслуживанием и набором кадров для нескольких вычислительных центров департамента США по энергетике, а также для правительственных региональных узлов корпорации Bechtel.
Подключение организации к Internet связано с чудовищной угрозой безопасности. Но это пустяки в сравнении с опасностью, таящейся внутри: по данным ассоциации National Computer Security, восемь из десяти взломов производятся изнутри организации.
Как понял Роузер, решить проблему можно с помощью интеграции систем безопасности, позволяющей пресечь действия как внешних, так и внутренних злоумышленников. Сегодня подобная интеграция означает сочетание пяти основных технологий: брандмауэров, аутентификации, шифрования, цифровых подписей и хранения содержимого.
Звучит вроде бы просто. Однако, как обнаружил Роузер, принявшись за работу, обеспечить безопасность сети не так легко. “Сначала мы решили проконсультироваться у поставщиков. В следующий раз я такой оплошности не допущу”, - рассказывает он. Как и следовало ожидать, поставщики стараются реализовать собственные решения.
Вначале было неизвестно, в чем заключались слабые места системы безопасности Bechtel. “В любом проекте, связанном с информационными технологиями, прежде чем начинать искать решения, необходимо определить практические потребности”, - рекомендует Роузер.
Это хороший совет. По мнению Майкла Зборэя, вице-президента фирмы Gartner Group, многие компании спотыкаются о самые первые препятствия на пути к сетевой безопасности.
“Самое сложное - начать, т. е. определить, сколько ресурсов нужно выделить на обучение специалистов и приобретение необходимых продуктов, - считает Зборэй. - Люди обычно сидят вокруг стола и обмениваются мнениями, но никто не может толком сказать, сколько денег будет разумным потратить на безопасность”.
В первую очередь необходимо оценить информацию компании в денежном исчислении, а затем решить, какую сумму выделить на обеспечение безопасности этих данных. Если такое решение не будет принято на административном уровне, менеджеру сети в конце концов придется давать объяснения начальникам, которые скажут, что стоимость информации была переоценена или, наоборот, недооценена.
“Добейтесь четкого понимания вопроса владельцами акций, особенно - членами правления, на которых лежит ответственность за безопасность компании”, - советует Зборэй.
Особое внимание этому следует уделить на предприятиях сферы производства и обслуживания, так как на них стоимость информации четко не определена. Руководителей финансовых организаций значительно проще убедить составить смету на системы безопасности, поскольку каждая крупица информации здесь имеет конкретную цену, и они, как правило, понимают, что малейший взлом сети и потеря доверия клиентов будут разорительными.
Фирма Bechtel пригласила консультантов из Coopers & Lybrand, чтобы оценить в денежном выражении потенциальную угрозу безопасности, а также составить стратегию безопасности. C&L начала с опроса сотрудников Bechtel и внешних деловых партнеров компании, “чтобы найти слабые места системы”, как рассказал Роузер. Была составлена “программа действий, которые должна выполнить Bechtel, и сейчас производится анализ потенциальной угрозы и масштаба технического решения”.
В индустрии ИС нет четкого определения того, сколько средств следует вкладывать в безопасность. Однако, как считает Зборэй, нет ничего необычного, когда компания тратит 10 - 15% стоимости информации на продукты, обеспечивающие безопасность.
“Разумеется, у дорогостоящих проектов более высокая отдача, - продолжает он. - Брандмауэры стоят не очень дорого, но дают хорошую прибыль. Системы аутентификации стоят дороже, но дают меньший доход”.
Кроме принятия решения о том, какую выделить сумму, компании необходимо составить правила сетевой безопасности. “Мы не можем отвечать за всю информацию или интеллектуальную собственность, - считает Роузер. - Ответственность лежит на пользователях. Наша работа заключается в создании правил безопасности”.
Разрабатываемый план Bechtel по защите безопасности состоит из процедурного раздела, описывающего обязанности пользователей по поддержанию безопасности сети, и технического раздела.Технический раздел предназначен для решения нескольких текущих задач Bechtel, в том числе организации взаимодействия удаленных сетей и сети штаб-квартиры, работающих под управлением различных ОС, а также обеспечения безопасности этих подключений.
Роузер предполагает, что в рекомендациях C&L, которые должны быть представлены в августе, вероятно, будет предложено использовать различные сочетания продуктов в зависимости от статуса подсети. Компания должна будет ввести смарт-карты для личной аутентификации в зонах повышенного риска, но не в коммерческих пунктах.
Роузер будет доволен переходом к стадии реализации, как, впрочем, и тем обстоятельством, что Bechtel достигла безопасности, имея хорошую стратегию. “Мы правильно поступили, что прибегли к анализу для определения того, сколько средств стоит на это потратить”, - убежден он.
(PC Week Labs)
Лоре Б. Смит, независимому журналисту из Суэмпскотта (шт. Массачусетс), можно писать по адресу: lauras@shore.net.
Y:PROCESSPCWEEKREFINAL.ONL48NT4_20.__
Руководство покупателя аппаратные брандмауэры
Компания | Продукт | Дата начала продажи, месяц/год | Функции брандмауэра | Платформа | Поддерживаемые аппаратные интерфейсы | Количество одновременных подключений | Плата шифрования | Включение URL | Совместимость с H.323 | Служба удаленного доступа | ACACS | ADIUS | Шифрование длz VPN | Системный журнал | Цена; гарантия; бесплатная поддержка |
Ascend Communication Аламеда, шт. Калифорния (800) 621-9578 www.ascend.com | SecureAccess 2.0 | 6/96 | Матричная проверка пакетов | NT, платформы Ascend, Windows 95 (Pipeline, Max, Max TN | 10BaseC, AU | BaseC, AU | | * | | * | * | * | * | * | $500 - $20000 |
Bay Network | Access Stack Node 11.02 | 6/97 | Матричная проверка пакетов, фильтрация прикладного уровня, Telnet, SNMP, встроенный модемный модуль стандарта V.34 | Частная | 10/100 Мбит/с Ethernet4 Serial (v.34, RS232, x.21) | Не ограничено | | | | * | | * | | * | $4000; 90 дней |
Cisco System | Cisco PI | 8/97 | Технология посредников, адаптивный алгоритм матричной проверки, сквозная проверка посредником, избирательное предоставление доступа к приложениям | Частная | 10/100 Мбит/с адаптер Ethernet | 16384 | * | * | * | * | * | | * | * | $9000; 90 дней |
Global Technologiy Associates Орландо, шт. Флорида (800) 775-4482 www.gta.com | GNAT Box | 8/97 | Гибридная система сочетает матричную проверку пакетов с функциями программных представителей | OC на | 10/100 Мбит/с адаптер Ethernet | 16 384 | | * | * | * | | | | * | $1235; |
On Technology Кеймбридж, шт. Массачусетс (800) 548-8871 www.on.com. | ON Guar Firewall 2.0 | 8/97 | Технология посредников, многоуровневая матричная проверка, фильтрация прикладного уровн | Частная | 10/100 Мбит/с адаптер Ethernet | Неограниченно | | * | | | | | * | | Базовая- |
Openroute Networks | GTSecure Firewall-60 1.0 (для последовательных ГВС), GTSecure-70 1.0 (для ISDN) | 10/96 | Фильтрация пакетов, матричная проверка пакетов, RADIUS, фильтрация сетевого и прикладного уровней | Частная | 10/100 Мбит/с адаптер Ethernet | Неограниченно | | * | | * | * | * | * | * | $1395; |
Trusted Information Systems Роквилл, шт. Мэриленд (800) 347-3925 www.tis.com. | Gauntlet Firewall Packaged | 7/97 | Технология посредников, фильтрация прикладного уровня | Unix, NT | 10/100 Мбит/с адаптер Ethernet 4/16 Мбит/с адаптер Token-Ring | 300 | * | * |
| * | | | * | * | $11 500-23 500; |
Данная таблица содержит только выборочные сведения. Вся информация предоставлена поставщиками. Таблица составлена Кристиной Кенни
